你更专注于安全性还是软件交付，还是可以两者兼得？

技术社区中存在一种趋势，经常互换地使用 DevSecOps 和敏捷软件开发这两个术语。尽管它们有一些相似性，例如都旨在更早地检测风险，但在改变团队的工作方式层面有很大不同。

DevSecOps 建立在敏捷开发建立的一些原则上。但是，DevSecOps 特别专注于集成安全功能，而敏捷开发则专注于交付软件。

知道如何保护你们的网站或应用程序免受勒索程序和其他威胁的侵害，实际上取决于你使用的软件和系统开发。这可能会影响你选择使用 DevSecOps、敏捷软件开发还是两者兼而有之。

DevSecOps 和敏捷软件开发的不同之处

两者的主要区别可以归结为一个简单的概念：安全性。这取决于你的软件开发实践，你们公司的安全措施 —— 以及何时、何地以及由谁实施，都可能会有很大不同。

每个企业都需要 IT 安全来保护其重要数据。如果企业真正重视 IT 安全，一般都会采取虚拟专用网（VPN）、数字证书、防火墙保护、多因子身份验证、安全的云存储，包括向员工介绍基本的网络安全措施。

当你信任 DevSecOps 时，你就会把公司的安全问题，本质上使其等同于持续集成和交付。 DevSecOps 方法论在开发之初就强调安全性，并使其成为整体软件质量不可或缺的组成部分。

基于 DevSecOps 安全性的三大原则：

• 平衡用户访问难易程度及数据安全性
• 使用 VPN 和 SSL 加密数据可防止数据在传输过程中受到入侵者的攻击
• 使用可以扫描新代码的安全漏洞并能通知开发人员该漏洞的工具来预测防范未来的风险

尽管 DevOps 一直打算包含安全性，但并非每个实践 DevOps 的组织都牢记这一点。DevSecOps 在 DevOps 的演进形式中，可以提供更加清晰的信息。尽管它们的名称相似，但这两个[不应混淆] 6。在 DevSecOps 模型中，安全性是团队的主要驱动力。

同时，敏捷开发更专注于迭代开发周期，这意味着反馈意见会不断融入到持续的软件开发中。敏捷的关键原则是拥抱不断变化的环境，为客户和使用者提供竞争优势，让开发人员和利益相关者紧密合作，并在整个过程中始终保持关注技术卓越，以提升效率。换句话说，除非敏捷团队在其定义中包括安全性，否则安全性在敏捷软件开发中算是事后思考。

国防机构面临的挑战

如果要说专门致力于最大程度地提高安全性的组织，美国国防部（DoD）就是其中之一。在 2018 年，美国国防部发布了针对软件开发中的“假敏捷”或“以敏捷为名”的指南。该指南旨在警告美国国防部高管注意不良编程的问题，并说明如何发现它以避免风险。

使用这些方法不仅可以使美国国防部受益。医疗保健和金融部门也保存着必须保证安全的大量敏感数据。

美国国防部通过其现代化战略（包括采用 DevSecOps）来改变防范形式至关重要。尤其在这个连美国国防部容易受到黑客攻击和数据泄露的时代，这一点在 2020 年 2 月的大规模数据泄露中已经得到了证明。

将网络安全最佳实践转化为现实生活中的开发仍然还存在固有的风险。事情不可能 100％ 完美地进行。最好的状况是稍微有点不舒服，最坏的情况下，它们可能会带来全新的风险。

开发人员，尤其是那些为军用软件编写代码的开发人员，可能对所有应该采用 DevSecOps 的情境没有透彻的了解。学习曲线会很陡峭，但是为了获得更大的安全性，必须承受这些必不可少的痛苦。

自动化时代的新模式

为了解决对先前安全措施日益增长的担忧，美国国防部承包商已开始评估 DevSecOps 模型。关键是将该方法论部署到持续的服务交付环境中。

应对这个问题，出现了三个方向。第一种涉及到自动化，自动化已在大多数隐私和安全工具中广泛使用，包括 VPN 和增强隐私的移动操作系统。大型云基础架构中的自动化无需依赖于人为的检查和平衡，可以自动处理持续的维护和进行安全评估。

第二种专注于对于过渡到 DevSecOps 很重要的安全检查点。而传统上，系统设计初期对于数据在各个组件之间移动时依旧可以访问是不做期望的。

第三种也是最后一种涉及将企业方式用于军用软件开发。国防部的许多承包商和雇员来自商业领域，而不是军事领域。他们的背景为他们提供了为大型企业提供网络安全的知识和经验，他们可以将其带入政府部门职位中。

值得克服的挑战

转向基于 DevSecOps 的方法论也提出了一些挑战。在过去的十年中，许多组织已经完全重新设计了其开发生命周期，以适应敏捷开发实践，在不久之后进行再次转换看起来令人生畏。

企业应该安下心来，因为即使美国国防部也遇到了这种过渡带来的麻烦，他们在应对推出新流程使得商业技术和工具广泛可用的挑战上并不孤独。

展望一下未来，其实切换到 DevSecOps 不会比切换到敏捷软件开发更痛苦。而且通过将创建安全性的价值添加到开发工作流程中，以及利用现有敏捷开发的优势，企业可以获得很多收益。

via: https://opensource.com/article/20/7/devsecops-vs-agile

作者：Sam Bocetta 选题：lujun9972 译者：windgeek 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

误植 Typosquatting 是一种引诱用户将敏感数据泄露给不法分子的方式，针对这种攻击方式，我们很有必要了解如何保护我们的组织、我们的开源项目以及我们自己。

除了常规手段以外，网络罪犯还会利用社会工程的方式，试图让安全意识较弱的人泄露私人信息或是有价值的证书。很多网络钓鱼骗局的实质都是攻击者伪装成信誉良好的公司或组织，然后借此大规模传播病毒或恶意软件。

误植 Typosquatting 就是其中一个常用的手法。它是一种社会工程学的攻击方式，通过使用一些合法网站的错误拼写的 URL 以引诱用户访问恶意网站，这样的做法既使真正的原网站遭受声誉上的损害，又诱使用户向这些恶意网站提交个人敏感信息。因此，网站的管理人员和用户双方都应该意识到这个问题带来的风险，并采取措施加以保护。

一些由广大开发者在公共代码库中维护的开源软件通常都被认为具有安全上的优势，但当面临社会工程学攻击或恶意软件植入时，开源软件也需要注意以免受到伤害。

下面就来关注一下误植攻击的发展趋势，以及这种攻击方式在未来可能对开源软件造成的影响。

什么是误植？

误植是一种非常特殊的网络犯罪形式，其背后通常是一个更大的网络钓鱼骗局。不法分子首先会购买和注册域名，而他们注册的域名通常是一个常用网站的错误拼写形式，例如在正确拼写的基础上添加一个额外的元音字母，又或者是将字母“i”替换成字母“l”。对于同一个正常域名，不法分子通常会注册数十个拼写错误的变体域名。

用户一旦访问这样的域名，不法分子的目的就已经成功了一半。为此，他们会通过电子邮件的方式，诱导用户访问这样的伪造域名。伪造域名指向的页面中，通常都带有一个简单的登录界面，还会附上熟悉的被模仿网站的徽标，尽可能让用户认为自己访问的是真实的网站。

如果用户没有识破这一个骗局，在页面中提交了诸如银行卡号、用户名、密码等敏感信息，这些数据就会被不法分子所完全掌控。进一步来看，如果这个用户在其它网站也使用了相同的用户名和密码，那就有同样受到波及的风险。受害者最终可能会面临身份被盗、信用记录被破坏等危险。

最近的一些案例

从网站的所有方来看，遭到误植攻击可能会带来一场公关危机。尽管网站域名的所有者没有参与到犯罪当中，但这会被认为是一次管理上的失职，因为域名所有者有主动防御误植攻击的责任，以避免这一类欺诈事件的发生。

在几年之前就发生过一起案件，很多健康保险客户收到了一封指向 we11point.com 的钓鱼电子邮件，其中 URL 里正确的字母“l”被换成了数字“1”，从而导致一批用户成为了这一次攻击的受害者。

最初，与特定国家/地区相关的顶级域名是不允许随意注册的。但后来国际域名规则中放开这一限制之后，又兴起了一波新的误植攻击。例如最常见的一种手法就是注册一个与 .com 域名类似的 .om 域名，一旦在输入 URL 时不慎遗漏了字母 c 就会给不法分子带来可乘之机。

网站如何防范误植攻击

对于一个公司来说，最好的策略就是永远比误植攻击采取早一步的行动。

也就是说，在注册域名的时候，不仅要注册自己商标名称的域名，最好还要同时注册可能由于拼写错误产生的其它域名。当然，没有太大必要把可能导致错误的所有顶级域名都注册掉，但至少要把可能导致错误的一些一级域名抢注下来。

如果你有让用户跳转到一个第三方网站的需求，务必要让用户从你的官方网站上进行跳转，而不应该通过类似群发邮件的方式向用户告知 URL。因此，必须明确一个策略：在与用户通信交流时，不将用户引导到官方网站以外的地方去。在这样的情况下，如果有不法分子试图以你公司的名义发布虚假消息，用户将会从带有异样的页面或 URL 上有所察觉。

你可以使用类似 DNS Twist 的开源工具来扫描公司正在使用的域名，它可以确定是否有相似的域名已被注册，从而暴露潜在的误植攻击。DNS Twist 可以在 Linux 系统上通过一系列的 shell 命令来运行。

还有一些网络提供商（ISP）会将防护误植攻击作为他们网络产品的一部分。这就相当于一层额外的保护，如果用户不慎输入了带有拼写错误的 URL，就会被提示该页面已经被阻止并重定向到正确的域名。

如果你是系统管理员，还可以考虑运行一个自建的 DNS 服务器，以便通过黑名单的机制禁止对某些域名的访问。

你还可以密切监控网站的访问流量，如果来自某个特定地区的用户被集体重定向到了虚假的站点，那么访问量将会发生骤降。这也是一个有效监控误植攻击的角度。

防范误植攻击与防范其它网络攻击一样需要保持警惕。所有用户都希望网站的所有者能够扫除那些与正主类似的假冒站点，如果这项工作没有做好，用户的信任对你的信任程度就会每况愈下。

误植对开源软件的影响

因为开源项目的源代码是公开的，所以其中大部分项目都会进行安全和渗透测试。但错误是不可能完全避免的，如果你参与了开源项目，还是有需要注意的地方。

当你收到一个不明来源的 合并请求 Merge Request 或补丁时，必须在合并之前仔细检查，尤其是相关代码涉及到网络层面的时候。不要屈服于只测试构建的诱惑； 一定要进行严格的检查和测试，以确保没有恶意代码混入正常的代码当中。

同时，还要严格按照正确的方法使用域名，避免不法分子创建仿冒的下载站点并提供带有恶意代码的软件。可以通过如下所示的方法使用数字签名来确保你的软件没有被篡改：

gpg --armor --detach-sig \
  --output advent-gnome.sig \
  example-0.0.1.tar.xz

同时给出你提供的文件的校验和：

sha256sum example-0.0.1.tar.xz > example-0.0.1.txt

无论你的用户会不会去用上这些安全措施，你也应该提供这些必要的信息。因为只要有那么一个人留意到签名有异样，就能为你敲响警钟。

总结

人类犯错在所难免。世界上数百万人输入同一个网址时，总会有人出现拼写的错误。不法分子也正是抓住了这个漏洞才得以实施误植攻击。

用抢注域名的方式去完全根治误植攻击也是不太现实的，我们更应该关注这种攻击的传播方式以减轻它对我们的影响。最好的保护就是和用户之间建立信任，并积极检测误植攻击的潜在风险。作为开源社区，我们更应该团结起来一起应对误植攻击。

via: https://opensource.com/article/20/1/stop-typosquatting-attacks

作者：Sam Bocetta 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

监控网络活动既重要又繁琐，以下这些工具可以使它更容易。

监控网络活动是一项繁琐的工作，但有充分的理由这样做。例如，它允许你查找和调查工作站和连接到网络的设备及服务器上的可疑登录，同时确定管理员滥用了什么。你还可以跟踪软件安装和数据传输，以实时识别潜在问题，而不是在损坏发生后才进行跟踪。

这些日志还有助于使你的公司遵守适用于在欧盟范围内运营的任何实体的通用数据保护条例（GDPR）。如果你的网站在欧盟可以浏览，那么你就有遵守的该条例的资格。

日志记录，包括跟踪和分析，应该是任何监控基础设置中的一个基本过程。要从灾难中恢复 SQL Server 数据库，需要事务日志文件。此外，通过跟踪日志文件，DevOps 团队和数据库管理员（DBA）可以保持最佳的数据库性能，又或者，在网络攻击的情况下找到未经授权活动的证据。因此，定期监视和分析系统日志非常重要。这是一种重新创建导致出现任何问题的事件链的可靠方式。

现在有很多开源日志跟踪器和分析工具可供使用，这使得为活动日志选择合适的资源比你想象的更容易。自由和开源软件社区提供的日志设计适用于各种站点和操作系统。以下是五个我用过的最好的工具，它们并没有特别的顺序。

Graylog

Graylog 于 2011 年在德国创立，现在作为开源工具或商业解决方案提供。它被设计成一个集中式日志管理系统，接受来自不同服务器或端点的数据流，并允许你快速浏览或分析该信息。

Graylog 在系统管理员中有着良好的声誉，因为它易于扩展。大多数 Web 项目都是从小规模开始的，但它们可能指数级增长。Graylog 可以均衡后端服务网络中的负载，每天可以处理几 TB 的日志数据。

IT 管理员会发现 Graylog 的前端界面易于使用，而且功能强大。Graylog 是围绕仪表板的概念构建的，它允许你选择你认为最有价值的指标或数据源，并快速查看一段时间内的趋势。

当发生安全或性能事件时，IT 管理员希望能够尽可能地根据症状追根溯源。Graylog 的搜索功能使这变得容易。它有内置的容错功能，可运行多线程搜索，因此你可以同时分析多个潜在的威胁。

Nagios

Nagios 始于 1999 年，最初是由一个开发人员开发的，现在已经发展成为管理日志数据最可靠的开源工具之一。当前版本的 Nagios 可以与运行 Microsoft Windows、Linux 或 Unix 的服务器集成。

它的主要产品是日志服务器，旨在简化数据收集并使系统管理员更容易访问信息。Nagios 日志服务器引擎将实时捕获数据，并将其提供给一个强大的搜索工具。通过内置的设置向导，可以轻松地与新端点或应用程序集成。

Nagios 最常用于需要监控其本地网络安全性的组织。它可以审核一系列与网络相关的事件，并帮助自动分发警报。如果满足特定条件，甚至可以将 Nagios 配置为运行预定义的脚本，从而允许你在人员介入之前解决问题。

作为网络审计的一部分，Nagios 将根据日志数据来源的地理位置过滤日志数据。这意味着你可以使用地图技术构建全面的仪表板，以了解 Web 流量是如何流动的。

Elastic Stack (ELK Stack)

Elastic Stack，通常称为 ELK Stack，是需要筛选大量数据并理解其日志系统的组织中最受欢迎的开源工具之一（这也是我个人的最爱）。

它的主要产品由三个独立的产品组成：Elasticsearch、Kibana 和 Logstash：

• 顾名思义， Elasticsearch 旨在帮助用户使用多种查询语言和类型在数据集之中找到匹配项。速度是它最大的优势。它可以扩展成由数百个服务器节点组成的集群，轻松处理 PB 级的数据。
• Kibana 是一个可视化工具，与 Elasticsearch 一起工作，允许用户分析他们的数据并构建强大的报告。当你第一次在服务器集群上安装 Kibana 引擎时，你会看到一个显示着统计数据、图表甚至是动画的界面。
• ELK Stack 的最后一部分是 Logstash，它作为一个纯粹的服务端管道进入 Elasticsearch 数据库。你可以将 Logstash 与各种编程语言和 API 集成，这样你的网站和移动应用程序中的信息就可以直接提供给强大的 Elastic Stalk 搜索引擎中。

ELK Stack 的一个独特功能是，它允许你监视构建在 WordPress 开源网站上的应用程序。与跟踪管理日志和 PHP 日志的大多数开箱即用的安全审计日志工具相比，ELK Stack 可以筛选 Web 服务器和数据库日志。

糟糕的日志跟踪和数据库管理是导致网站性能不佳的最常见原因之一。没有定期检查、优化和清空数据库日志，不仅会降低站点的运行速度，还可能导致其完全崩溃。因此，ELK Stack 对于每个 WordPress 开发人员的工具包来说都是一个优秀的工具。

LOGalyze

LOGalyze 是一个位于匈牙利的组织，它为系统管理员和安全专家构建开源工具，以帮助他们管理服务器日志，并将其转换为有用的数据点。其主要产品可供个人或商业用户免费下载。

LOGalyze 被设计成一个巨大的管道，其中多个服务器、应用程序和网络设备可以使用简单对象访问协议（SOAP）方法提供信息。它提供了一个前端界面，管理员可以登录界面来监控数据集并开始分析数据。

在 LOGalyze 的 Web 界面中，你可以运行动态报告，并将其导出到 Excel 文件、PDF 文件或其他格式。这些报告可以基于 LOGalyze 后端管理的多维统计信息。它甚至可以跨服务器或应用程序组合数据字段，借此来帮助你发现性能趋势。

LOGalyze 旨在不到一个小时内完成安装和配置。它具有预先构建的功能，允许它以法律所要求的格式收集审计数据。例如，LOGalyze 可以很容易地运行不同的 HIPAA 报告，以确保你的组织遵守健康法律并保持合规性。

Fluentd

如果你所在组织的数据源位于许多不同的位置和环境中，那么你的目标应该是尽可能地将它们集中在一起。否则，你将难以监控性能并防范安全威胁。

Fluentd 是一个强大的数据收集解决方案，它是完全开源的。它没有提供完整的前端界面，而是作为一个收集层来帮助组织不同的管道。Fluentd 在被世界上一些最大的公司使用，但是也可以在较小的组织中实施。

Fluentd 最大的好处是它与当今最常用的技术工具兼容。例如，你可以使用 Fluentd 从 Web 服务器（如 Apache）、智能设备传感器和 MongoDB 的动态记录中收集数据。如何处理这些数据完全取决于你。

Fluentd 基于 JSON 数据格式，它可以与由卓越的开发人员创建的 500 多个插件一起使用。这使你可以将日志数据扩展到其他应用程序中，并通过最少的手工操作从中获得更好的分析。

写在最后

如果出于安全原因、政府合规性和衡量生产力的原因，你还没有使用活动日志，那么现在开始改变吧。市场上有很多插件，它们可以与多种环境或平台一起工作，甚至可以在内部网络上使用。不要等发生了严重的事件，才采取一个积极主动的方法去维护和监督日志。

via: https://opensource.com/article/19/4/log-analysis-tools

作者：Sam Bocetta 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解如何选择最适合你的需求的开源数据库。

在现代的企业级技术领域中，开源软件已经成为了一股不可忽视的重要力量。借助 开源运动 open source movement 的东风，涌现除了许多重大的技术突破。

个中原因显而易见，尽管一些基于 Linux 的开源网络标准可能不如专有厂商的那么受欢迎，但是不同制造商的智能设备之间能够互相通信，开源技术功不可没。当然也有不少人认为开源开发出来的应用比厂商提供的产品更加好，所以无论如何，使用开源数据库进行开发确实是相当有利的。

和其它类型的应用软件一样，不同的开源数据库管理系统之间在功能和特性上可能会存在着比较大的差异。换言之，不是所有的开源数据库都是平等的。因此，如果要为整个组织选择一个开源数据库，那么应该重点考察数据库是否对用户友好、是否能够持续适应团队需求、是否能够提供足够安全的功能等方面的因素。

出于这方面考虑，我们在这篇文章中对一些开源数据库进行了概述和优缺点对比。遗憾的是，我们必须忽略一些最常用的数据库。值得注意的是，MongoDB 最近更改了它的许可证，因此它已经不是真正的开源产品了。从商业角度来看，这个决定是很有意义的，因为 MongoDB 已经成为了数据库托管实际上的解决方案，约 27000 家公司在使用它，但这也意味着 MongoDB 已经不再被视为真正的开源产品。

另外，自从 MySQL 被 Oracle 收购之后，这个产品就已经不再具有开源性质了，MySQL 可以说是数十年来首选的开源数据库。然而，这为其它真正的开源数据库解决方案提供了挑战它的空间。

下面是三个值得考虑的开源数据库。

PostgreSQL

没有 PostgreSQL 的开源数据库清单肯定是不完整的。PostgreSQL 一直都是各种规模企业的首选解决方案。Oracle 对 MySQL 的收购在当时来说可能具有一定的商业意义，但是随着云存储的日益壮大，开发者对 MySQL 的依赖程度或许并不如以前那么大了。

尽管 PostgreSQL 不是一个最近几年才面世的新产品，但它却是借助了 MySQL 相对衰落的机会才逐渐成为最受欢迎的开源数据库之一。由于它和 MySQL 的工作方式非常相似，因此很多热衷于使用开源软件的开发者都纷纷转向 PostgreSQL。

优势

• 目前 PostgreSQL 最显著的优点是它的核心算法的效率，这意味着它的性能优于许多宣称更先进数据库。这一点在处理大型数据集的时候就可以很明显地体现出来了，否则 I/O 处理会成为瓶颈。
• PostgreSQL 也是最灵活的开源数据库之一，使用 Python、Perl、Java、Ruby、C 或者 R 都能够很方便地调用数据库。
• 作为最常用的几个开源数据库之中，PostgreSQL 的社区支持是做得最好的。

劣势

• 在数据量比较大的时候，PostgreSQL 的效率毋庸置疑是很高的，但对于数据量较小的情况，使用 PostgreSQL 就显得不如其它的一些工具快了。
• 尽管拥有一个很优秀的社区支持，但 PostgreSQL 的核心文档仍然需要作出改进。
• 如果你需要使用并行计算或者集群化等高级工具，就需要安装 PostgreSQL 的第三方插件。尽管官方有计划将这些功能逐步添加到主要版本当中，但可能会需要再等待好几年才能出现在标准版本中。

MariaDB

MariaDB 是 MySQL 的真正开源的发行版本（在 GNU GPLv2 下发布）。在 Oracle 收购 MySQL 之后，MySQL 的一些核心开发人员认为 Oracle 会破坏 MySQL 的开源理念，因此建立了 MariaDB 这个独立的分支。

MariaDB 在开发过程中替换了 MySQL 的几个关键组件，但仍然尽可能地保持兼容 MySQL。MariaDB 使用了 Aria 作为存储引擎，这个存储引擎既可以作为事务式引擎，也可以作为非事务式引擎。在 MariaDB 分叉出来之前，就有一些人推测 Aria 会成为 MySQL 未来版本中的标准引擎。

优势

• 由于 MariaDB 频繁进行安全发布，很多用户选择使用 MariaDB 而不选择 MySQL。尽管这不一定代表 MariaDB 会比 MySQL 更加安全，但确实表明它的开发社区对安全性十分重视。
• 有一些人认为，MariaDB 的主要优点就是它在坚持开源的同时会与 MySQL 保持高度兼容，这就意味着从 MySQL 向 MariaDB 的迁移会非常容易。
• 也正是由于这种兼容性，MariaDB 也可以和其它常用于 MySQL 的语言配合使用，因此从 MySQL 迁移到 MariaDB 之后，学习和调试代码的时间成本会非常低。
• 你可以将 WordPress 和 MariaDB（而不是 MySQL）配合使用从而获得更好的性能和更丰富的功能。WordPress 是最受欢迎的 内容管理系统 Content Management System （CMS），占据了一半的互联网份额，并且拥有活跃的开源开发者社区。各种第三方插件在 WordPress 和 MariaDB 配合使用时都能够正常工作。

劣势

• MariaDB 有时会变得比较臃肿，尤其是它的 IDX 日志文件在长期使用之后会变得非常大，最终导致性能下降。
• 缓存是 MariaDB 的另一个工作领域，并没有期望中那么快，这可能会让人有所失望。
• 尽管 MariaDB 最初承诺兼容 MySQL，但目前 MariaDB 已经不是完全兼容 MySQL。如果要从 MySQL 迁移到 MariaDB，就需要额外做一些兼容工作。

SQLite

SQLite 可以说是世界上实现最多的数据库引擎，因为它被很多流行的 web 浏览器、操作系统和手机所采用。它最初是作为 MySQL 的轻量级分支所开发的。SQLite 和很多其它的数据库不同，它不采用客户端-服务端的引擎架构，而是将整个软件嵌入到每个实现当中。

这样的架构让 SQLite 拥有一个强大的优势，就是在嵌入式系统或者分布式系统中，每台机器都搭载了数据库的整个实现。这样的做法减少了系统间的调用，从而大大提高了数据库的性能。

优势

• 如果你需要构建和实现一个小型数据库，SQLite 可能是最好的选择。它小而灵活，不需要费工夫寻求各种变通方案，就可以在嵌入式系统中实现。
• SQLite 体积很小，因此速度极快。其它的一些高级数据库可能会使用复杂的优化方式来提高效率，但SQLite 采用了一种更简单的方法：通过减小数据库及其处理软件的大小，以使处理的数据更少。
• SQLite 被广泛采用也导致它可能是兼容性最高的数据库。如果你希望将应用程序集成到智能手机上，这一点尤为重要：只要是可以工作于广泛环境中的第三方应用程序，就可以原生运行于 iOS 上。

劣势

• SQLite 的体积小意味着它缺少了很多其它大型数据库的常见功能。例如数据加密就是抵御黑客攻击的标准功能，而 SQLite 却没有内置这个功能。
• SQLite 的广泛流行和源码公开使它易于使用，但是也让它更容易遭受攻击。这是它最大的劣势。SQLite 经常被发现高危的漏洞，例如最近的 Magellan。
• 尽管 SQLite 单文件的方式拥有速度上的优势，但是要使用它实现多用户环境却比较困难。

哪个开源数据库才是最好的？

当然，对于开源数据库的选择还是取决于业务的需求，尤其是系统的体量。对于小型数据库或者是使用量比较小的数据库，可以使用比较轻量级的解决方案，这样不仅可以加快实现的速度，而且由于系统的复杂程度不算太高，花在调试上的时间成本也不会太高。

而对于大型的系统，尤其是在成长性企业中，最好还是花时间使用更复杂的数据库（例如 PostgreSQL）。这是一个磨刀不误砍柴工的选择，能够让你不至于在后期再重新选择另一款数据库。

via: https://opensource.com/article/19/1/open-source-databases

作者：Sam Bocetta 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

通过这 10 个基础命令开始掌握 Linux 命令行。

你可能认为你是 Linux 新手，但实际上并不是。全球互联网用户有 3.74 亿，他们都以某种方式使用 Linux，因为 Linux 服务器占据了互联网的 90%。大多数现代路由器运行 Linux 或 Unix，TOP500 超级计算机 也依赖于 Linux。如果你拥有一台 Android 智能手机，那么你的操作系统就是由 Linux 内核构建的。

换句话说，Linux 无处不在。

但是使用基于 Linux 的技术和使用 Linux 本身是有区别的。如果你对 Linux 感兴趣，但是一直在使用 PC 或者 Mac 桌面，你可能想知道你需要知道什么才能使用 Linux 命令行接口（CLI），那么你来到了正确的地方。

下面是你需要知道的基本的 Linux 命令。每一个都很简单，也很容易记住。换句话说，你不必成为比尔盖茨就能理解它们。

1、 ls

你可能会想：“这是（is）什么东西？”不，那不是一个印刷错误 —— 我真的打算输入一个小写的 l。ls，或者说 “list”， 是你需要知道的使用 Linux CLI 的第一个命令。这个 list 命令在 Linux 终端中运行，以显示在存放在相应文件系统下的所有主要目录。例如，这个命令：

ls /applications

显示存储在 applications 文件夹下的每个文件夹，你将使用它来查看文件、文件夹和目录。

显示所有隐藏的文件都可以使用命令 ls -a。

2、 cd

这个命令是你用来跳转（或“更改”）到一个目录的。它指导你如何从一个文件夹导航到另一个文件夹。假设你位于 Downloads 文件夹中，但你想到名为 Gym Playlist 的文件夹中，简单地输入 cd Gym Playlist 将不起作用，因为 shell 不会识别它，并会报告你正在查找的文件夹不存在（LCTT 译注：这是因为目录名中有空格）。要跳转到那个文件夹，你需要包含一个反斜杠。改命令如下所示：

cd Gym\ Playlist

要从当前文件夹返回到上一个文件夹，你可以在该文件夹输入 cd ..。把这两个点想象成一个后退按钮。

3、 mv

该命令将文件从一个文件夹转移到另一个文件夹；mv 代表“移动”。你可以使用这个简单的命令，就像你把一个文件拖到 PC 上的一个文件夹一样。

例如，如果我想创建一个名为 testfile 的文件来演示所有基本的 Linux 命令，并且我想将它移动到我的 Documents 文件夹中，我将输入这个命令：

mv /home/sam/testfile /home/sam/Documents/

命令的第一部分（mv）说我想移动一个文件，第二部分（home/sam/testfile）表示我想移动的文件，第三部分（/home/sam/Documents/）表示我希望传输文件的位置。

4、 快捷键

好吧，这不止一个命令，但我忍不住把它们都包括进来。为什么？因为它们能节省时间并避免经历头痛。

• CTRL+K 从光标处剪切文本直至本行结束
• CTRL+Y 粘贴文本
• CTRL+E 将光标移到本行的末尾
• CTRL+A 将光标移动到本行的开头
• ALT+F 跳转到下一个空格处
• ALT+B 回到前一个空格处
• ALT+Backspace 删除前一个词
• CTRL+W 剪切光标前一个词
• Shift+Insert 将文本粘贴到终端中
• Ctrl+D 注销

这些命令在许多方面都能派上用场。例如，假设你在命令行文本中拼错了一个单词：

sudo apt-get intall programname

你可能注意到 install 拼写错了，因此该命令无法工作。但是快捷键可以让你很容易回去修复它。如果我的光标在这一行的末尾，我可以按下两次 ALT+B 来将光标移动到下面用 ^ 符号标记的地方：

sudo apt-get^intall programname

现在，我们可以快速地添加字母 s 来修复 install，十分简单！

5、 mkdir

这是你用来在 Linux 环境下创建目录或文件夹的命令。例如，如果你像我一样喜欢 DIY，你可以输入 mkdir DIY 为你的 DIY 项目创建一个目录。

6、 at

如果你想在特定时间运行 Linux 命令，你可以将 at 添加到语句中。语法是 at 后面跟着你希望命令运行的日期和时间，然后命令提示符变为 at>，这样你就可以输入在上面指定的时间运行的命令。

例如：

at 4:08 PM Sat
at> cowsay 'hello'
at> CTRL+D

这将会在周六下午 4:08 运行 cowsay 程序。

7、 rmdir

这个命令允许你通过 Linux CLI 删除一个目录。例如：

rmdir testdirectory

请记住，这个命令不会删除里面有文件的目录。这只在删除空目录时才起作用。

8、 rm

如果你想删除文件，rm 命令就是你想要的。它可以删除文件和目录。要删除一个文件，键入 rm testfile，或者删除一个目录和里面的文件，键入 rm -r。

9、 touch

touch 命令，也就是所谓的 “make file 的命令”，允许你使用 Linux CLI 创建新的、空的文件。很像 mkdir 创建目录，touch 会创建文件。例如，touch testfile 将会创建一个名为 testfile 的空文件。

10、 locate

这个命令是你在 Linux 系统中用来查找文件的命令。就像在 Windows 中搜索一样，如果你忘了存储文件的位置或它的名字，这是非常有用的。

例如，如果你有一个关于区块链用例的文档，但是你忘了标题，你可以输入 locate -blockchain 或者通过用星号分隔单词来查找 "blockchain use cases"，或者星号（*）。例如：

locate -i*blockchain*use*cases*

还有很多其他有用的 Linux CLI 命令，比如 pkill 命令，如果你开始关机但是你意识到你并不想这么做，那么这条命令很棒。但是这里描述的 10 个简单而有用的命令是你开始使用 Linux 命令行所需的基本知识。

via: https://opensource.com/article/18/4/10-commands-new-linux-users

作者：Sam Bocetta 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出